Las grandes potencias del mundo tienen grupos de élite de hackers, a pesar de que todas ellas lo nieguen. China tiene uno de los grupos más avanzados, conocidos normalmente con nombres como APT31, Zirconium o Panda. Entre sus objetivos se encuentran, normalmente, gobiernos, bancos, empresas del sector aeroespacial, sector militar, telecomunicaciones, ingeniería, etc. Ahora, les acusan de una nueva campaña de hackeo masiva.
El pasado lunes, Reino Unido afirmó que este grupo se encontraba detrás de los hackeos de Microsoft Exchange aprovechando la grave vulnerabilidad que les afectó. Ahora, Francia les acusa de estar atacando organizaciones en su país a través de routers.
Francia alerta de la ola de hackeos
Así lo afirma la Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), que se encuentra trabajando para solucionar varias intrusiones en empresas. Estas intrusiones están produciéndose todavía, y al parecer utiliza routers vulnerables para llevar a cabo operaciones de espionaje en las empresas que los usan, además de usarlos para llevar a cabo más ataques.
La compañía ha revelado algunos datos que pueden permitir identificar si se está recibiendo uno de estos ataques, con un listado de 161 direcciones IP. Las IP pertenecen en su mayoría a países como Rusia, Egipto, Marruecos, Tailandia y Emiratos Árabes Unidos, las cuales están usando para llevar a cabo los ataques para evitar que los asocien con China. Ninguna de las direcciones es de Francia ni de ningún país de Europa Occidental, así como tampoco ninguno de los países que forman parte de la coalición Five Eyes.
CERT-FR reports that #APT31 is using compromised routers to target French organisations:https://t.co/kGFO9P0xRI
I put together some graphs demonstrating the ~160 IP addresses that were disclosed: pic.twitter.com/A7XIPe72qf
— Will | Bushido (@BushidoToken) July 21, 2021
El hackeo de routers para llevar a cabo operaciones de hackeo más grandes es algo bastante común. A la hora de hackear routers o dispositivos de particulares, lo normal suele ser que éstos se añaden a botnets para llevar a cabo ataques masivos como los DDoS, o usarlos también como relés en operaciones de hackeo. En este caso, el objetivo es claro: ocultar el origen del hackeo.
En 2018 pudimos ver el alcance de una de las mayores campañas conocidas en la historia con VPNFilter, un malware vinculado a hackers relacionados con el gobierno de Rusia que infectaron más de 500.000 routers y los usaban para llevar a cabo ataques.
Cómo asegurarse de que nuestro router no está hackeado
Es difícil detectar este tipo de hackeos. Si el atacante tiene el control del router y tiene malware en él, normalmente lo más fácil para eliminarlo es reiniciar el router, ya que los dispositivos tienen mecanismos de protección en el arranque que permiten eliminar el malware introducido, ya que éste normalmente se almacena en la RAM.
También es importante desactivar cualquier herramienta de administración remota si no la estamos usando, así como comprobar que no tenemos puertos abiertos que no estemos usando o que puedan ser sensibles. También tenemos que revisar que no se haya cambiado el servidor de DNS, ya que nuestro tráfico podría estar pasando por manos de los atacantes antes de llegar al resto de Internet.
Por último, es conveniente comprobar que nuestro router tiene la última versión del firmware instalada, algo que suele ser lo normal en los routers actuales porque se actualizan solos, como los de los operadores. Además, al instalar el nuevo firmware, nos aseguramos de estar sustituyendo los archivos que puedan haber modificado maliciosamente en la instalación anterior.
No hay comentarios:
Publicar un comentario